kamal House
Sonoya Mizuno

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.
Pour en savoir plus et paramétrer les cookies… Fermer

publicité

WannaCry : un an plus tard, le ransomware continue de faire des siennes


Sécurité : Si l’épidémie WannaCry a bien été stoppée par un killswitch, le malware continue d’être actif sur certains systèmes. Kryptos Logic, la société ayant découvert et actionné le système de blocage du ransomware, ouvre les données qu’elle récolte aux entreprises tierces.

Pour beaucoup, WannaCry est de l’histoire ancienne. Ce ransomware avait fait irruption sur la scène internationale en mai 2017. Il avait recours à une faille 0day au sein de Windows pour se propager, ce qui, en l’absence de patch correctif, en faisait un malware particulièrement destructeur. Mais un chercheur en sécurité (connu sous le nom de MalwareTech) travaillant pour la société Kryptos Logic était parvenu à identifier un mécanisme stoppant la propagation de WannaCry.

 

Le malware était en effet conçu de manière à interroger périodiquement une URL spécifique codée « en dur » dans le code source : en l’absence de réponse de celle-ci, le malware continuait de chiffrer les fichiers des machines infectées. Les chercheurs de Kryptos Logic ont donc enregistré à leur nom le nom de domaine, ce qui a eu pour effet de stopper immédiatement la charge utile du ransomware, laissant le temps aux administrateurs systèmes d’appliquer le correctif de sécurité corrigeant la faille exploitée par WannaCry.

Il faut se méfier du ransomware qui dort

Affaire classée ? Pas vraiment. En effet, si l’essentiel des infections s’est concentré en mai et que le mécanisme de chiffrement des données a pu être bloqué, les infections de WannaCry ne se sont pas arrêtées. Plus inquiétant : lorsque le malware parvient à infecter des machines, mais qu’il ne parvient pas à contacter le nom de domaine utilisé pour agir comme un « kill switch », le mécanisme de chiffrement s’active et bloque l’accès aux fichiers. Plusieurs cas ont montré que des systèmes qui n’avaient pas été patchés correctement ont été infectés et perturbés par différentes versions de WannaCry : la plus récente concernerait Boeing, dont plusieurs systèmes ont été affectés par le virus au début du mois de mars, mais d’autres cas ont été repérés.

De nombreux systèmes ne sont pas connectés à Internet, le plus souvent par sécurité, mais cela n’empêche pas une clef USB contenant le fichier de traîner quelque part et de répandre l’infection dans un vase clos. Plus ennuyeux : dans le cas d’une défaillance des équipements réseau, des machines infectées ne pouvant plus contacter le nom de domaine pourraient alors se réveiller et entamer la routine de chiffrement des fichiers.

WannaCry continue donc de faire des siennes, et Kryptos Logic a un point de vue privilégié sur ce phénomène. En effet, la société dispose du nom de domaine utilisé par le malware afin de décider si oui ou non il doit chiffrer les fichiers de la machine qu’il vient d’infecter. Concrètement, toutes les machines infectées par WannaCry vont tenter, à un moment ou un autre, de contacter le nom de domaine. Cela permet à Kryptos Logic de suivre avec précision l’évolution des machines infectées et de signaler si une nouvelle vague d’infection a lieu quelque part.

N'est pas mort ce qui semble à jamais dormir

La société a décidé d’offrir un accès à ses données pour les entreprises qui souhaitent pouvoir suivre l’évolution des infections dues à WannaCry. Baptisé Telltale, ce service est en réalité une version gratuite et limitée du service de threat intelligence offert par Kryptos Logic, Vantage Breach Intelligence Feed. Telltale permet notamment d’enregistrer une série d’adresse IP appartenant à son organisation afin de recevoir une alerte lorsque ceux-ci contactent le nom de domaine détenu par Kryptos Logic et utilisé comme killswitch par le ransomware.

Cela permet notamment de détecter la présence de machines infectées « dormantes » dans son réseau, même si Kryptos Logic précise que les données fournies via Telltale ne concernent pas uniquement WannaCry.

Pour Kryptos Logic, c’est un bon coup de pub pour leur service. Mais celui-ci pourrait se révéler utile pour les administrations qui n’ont pas eu la possibilité d’appliquer les patchs correctifs des failles utilisées par WannaCry sur l’ensemble de leur parc.

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

1 réponse
Connectez vous ou Enregistrez-vous pour rejoindre la discussion
    
  • Wannacry est un problème?
    Il suffit de changer le OS pour un autre!
    Mi¢ro$oft a démontré, hors de tout doute et à répétition, son incapacité à gérer les menaces!
    Avec plus de 40 ans d'expérience dans le domaine? C'est déplorable!

    Quand un outil ne fonctionne pas, on ne s'entête pas! On le change!
publicité